年度安全会议上的老问题与新战略

一年之际在于春,新年伊始,又到了制定目标、战略、计划和进行动员的时候了。信息安全管理委员会不能只是挂个虚名,该召集成员们来商讨新年大计了。

对于一个成熟的信息安全管理体系来讲,前一年与后一年之间的工作计划似乎并没有什么不同,只管按步就班进行下去即可。信息安全管理水平仍处于混沌状态之下的组织在面对老问题之时,似乎仍然无解。

而信息安全威胁却总是在不断地更新着、变化着和增长着,这就需要采取必要的应对措施。当然,这里的意思并非为应对新型计算机病毒的出现,而更换防病毒软件。

有钱好办事儿,安全预算是关键,所以年度信息安全会议上最重要的是安全预算。昆明亭长朗然科技有限公司企业安全治理顾问James Dong说:从财务控管角度讲,财政资源是有限的,合理配置使用有限的资源才是关键。从大的社会环境来看,中央已经认识到往年安全维稳成本过高,必将严格控制相关开支。受中央部委控管的大型央企国企必将受到一定的影响,大的方向上似乎是安全年度预算会逐步减少。

要知道:能减少的只会限制在安全运维方面,比如通过优化流程和精简队伍来降低运营成本,而新的安全项目方面的预算则是不应该贸然减少的,甚至还应该适量增加,以保证不断提升安全管理水平和应对新型安全威胁。

在流程优化方面,多数公司,无价值的审批环节可以省略,类似的安全运营流程也可以合并,以求高效。人员队伍方面,中国人力资源低廉的时代已经过去,高素质的全能性信息安全人才必将受到欢迎,此外,采用兼职的专业信息安全管理人员如兼职首席信息安全官CISO也是个不错的方向。同时,人力资源成本的高居不下让信息安全委员会不得不考虑采用新的安全战略,如将非核心战略的安全运维流程外包,这在发达国家和地区已经实施多年。

不过,机制不够灵活是很多大中型企业的通病,要让新战略得已贯彻实施,让老问题得以顺利解决,就需要有效的安全认知沟通。这不仅仅需要在信息安全管理委员们之间,更需要向全体员工、投资者和受影响者如何进行必要而充分的信息安全意识和理念的交流。

十招进行有效的信息安全意识教育

1.积极参加信息安全相关的研讨会、展示会,利用国际计算机信息安全日、网络信息安全宣传月等,设立组织信息安全周、信息安全日等。如果公司有不同的站点,可巡回宣传,每次选择不同的信息安全议题。

2.开设针对业务部门安全协调员的信息安全课程,定期举办信息安全专业技能培训,讲解与信息安全最佳实践及管理流程相接合,使信息安全业务(协调)负责人员具备扎实的理论和技术能力,以便向其部门的全体人员推进信息安全和处理相关的安全事件。

3.鼓励和支持关键员工学习和考取专业的安全资质如CISSP,CISA,CISM,ISMS等。

4.开办电子学习课程,包括针对所有员工的安全意识教育以及针对管理层的培训课程,以让员工及经理层了解和担负起各自的安全职责,并且在日常工作中有足够的信息安全知识和技能。

5.举办信息安全挑战赛,包括技能挑战赛,小电影、海报、标语口号的创意设计比赛等等,刺激员工们思考信息安全议题,达到推广的效果。

6.建立公司内部信息安全官方网站,传达相关的信息安全政策、标准等信息和安全理念,展示各种安全活动的成果,建立沟通平台。

7.建立博客,微博,微信等,并保持时常更新,用简单易懂的文字,配以生动有趣的图文插画,介绍给员工基本的信息安全技术和知识,也可在其中加入各类安全活动的信息,并且通过相互的交流,进行安全推广。

8.制作信息安全电子期刊,安全知识测试问卷、网络调查问卷、网络小游戏、信息安全卡通人物形象等等,并进行网络推广活动。

9.发放信息安全手册,彩页,玩具,小礼品等实物。

10.寓教于乐,在公司年会或联欢会上加入信息安全表演节目,比如自编自演“信息安全歌”等。

想了解更多关于信息安全意识培训计划的内容?请联系我们,免费获取访问“建立信息安全意识计划”在线教程。

security-awareness-training-program